После 11 октября пользователи могут столкнуться со снижением скорости работы в Сети, а часть сайтов будет недоступна. Причина — первое в истории обновление настроек защиты мировой системы доменных имен. Готовы к этому не все.
В конце августа Корпорация по управлению доменными именами и IP-адресами (ICANN) напомнила, что «готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета» (DNS). Переход на новые ключи (Key Signing Key, KSK) должен состояться 11 октября. При этом организация предупредила, что «небольшой процент интернет-пользователей испытает сложности при разрешении доменных имен» (то есть при преобразовании имени ресурса в числовой IP-адрес, например, rbc.ru — в 80.68.253.13), которое компьютеры используют для соединения друг с другом. Из-за таких сложностей часть пользователей, например, не сможет открыть указанный ими в адресной строке браузера сайт.
Несмотря на опубликованное сообщение ICANN, 11 октября — это предварительная дата перехода на новые ключи, рассказала РБК глава по глобальному взаимодействию с заинтересованными сторонами в Восточной Европе и Центральной Азии ICANN Александра Куликова. Точная дата перехода будет утверждена на заседании правления корпорации, которое должно состояться на следующей неделе, 12 сентября.
1.
Что такое ключи и зачем их менять?
Криптографические ключи появились в 2010 году по инициативе ICANN. Они применялись в расширении DNS Security (DNSSEC). Изначально в DNS-серверах не была предусмотрена проверка подлинности ответов, чем пользовались злоумышленники: они могли перехватить запрос компьютера пользователя, который пытался установить IP-адрес своего «места назначения», и заменить его на неправильный. Таким образом, пользователь, сам того не замечая, мог подключиться к серверу мошенников. Чтобы избежать этого, в 2010 году было выпущено расширение DNSSEC, которое согласились установить многие крупные интернет-провайдеры.
По словам директора Координационного центра доменов.RU/.РФ Андрея Воробьева, DNSSEC обеспечивает безопасность и целостность системы интернет-адресации. «Когда пользователь пытается зайти на какой-то ресурс, его интернет-провайдер выясняет для него адрес, по которому надо сделать запрос, чтобы открылся сайт или приложение, отправилась электронная почта и т. д. DNSSEC выступает таким глобальным распределенным автоматизированным нотариусом, который подтверждает оператору, что адрес, который он узнал для своего клиента, верен», — объяснил Воробьев. Еще в 2010 году ICANN взяла на себя обязательство, что будет менять криптографические ключи «при необходимости или по истечении пяти лет работы», рассказала Куликова. «Несмотря на то что ключ ни разу не был скомпрометирован за это время, замена ключей, как и паролей, — это хорошая практика криптографической «гигиены», поэтому был разработан подробный план подготовки и осуществления смены ключа в штатных условиях. Обновление KSK означает создание новой пары криптографических ключей — открытого и закрытого — и распространение нового открытого компонента среди сторон, которые управляют распознавателями с функцией проверки подлинности. Это, например, интернет-провайдеры, администраторы сетей, разработчики программного обеспечения для распознавателей DNS, системные интеграторы и т. п.», — пояснила Александра Куликова.
2.
Почему ключи меняются впервые?
Несмотря на то что пятилетний срок для смены ключа истек еще в середине 2015 года, нынешняя смена KSK будет первой в истории ICANN. Впервые о необходимости провести эту процедуру организация объявила в 2016 году. На следующий год была выпущена открытая часть ключа, а сам переход от старой версии к новой был назначен на 11 октября 2017 года. Но мероприятие пришлось отложить из-за низкого уровня готовности интернет-провайдеров, пояснила Куликова. «Мы знали c самого начала, что стопроцентной готовности к смене KSK не будет, но данные, полученные к лету 2017 года, показали, что к ней было не готово большее количество интернет-провайдеров и сетевых операторов, чем ожидалось», — указала она. По словам представителя ICANN, корпорация еще ни разу не сталкивалась с риском компрометации ключа, поэтому было принято решение отложить процедуру его замены еще на год для проведения необходимой работы с операторами.
3.
Сколько пользователей столкнется с проблемами?
По словам Александры Куликовой, в 2017 году примерно у четверти пользователей интернета — около 750 млн человек — доступ в интернет так или иначе зависел от операторов, использующих расширение DNSSEC. Именно эти пользователи потенциально могут столкнуться с проблемами. Однако, по мнению Куликовой, все крупные игроки смогут перейти на новый KSK. Смена криптографического ключа — процедура не одномоментная, фактически она идет на протяжении последних двух лет, отметил Андрей Воробьев. По его словам, процедура практически автоматическая и «большинство операторов связи в мире уже имеет все необходимые настройки в своем сетевом оборудовании, которые позволят перейти на новый ключ безболезненно и абсолютно незаметно как для пользователей, так и для владельцев интернет-ресурсов». «Мы полагаем, что благодаря лучшему изучению технической стороны запланированной на 11 октября 2018 года смены ключа KSK и новым усилиям по оповещению тех членов интернет-сообщества, от кого зависит правильная настройка систем подтверждения DNS-запросов, лишь небольшое количество интернет-пользователей может столкнуться со сложностями при доступе к интернет-ресурсам в результате замены ключа», — сказала Куликова. Как пояснил РБК Владимир Иванов (бывший замруководителя департамента эксплуатации «Яндекса» и бывший руководитель ИТ-департамента интернет-магазина Lamoda), небольшие интернет-провайдеры могли включить себе проверку DNSSEC много лет назад, но не обратили внимание на то, что сейчас необходимо было поменять ключи. «Если сильно не повезет, могут сломаться базовые функции, такие как синхронизация времени. В этом случае «сломается» очень многое, но это все невидимо для людей. У людей просто «не будет работать интернет», — объясняет Иванов. Из материалов ICANN следует, что даже если ключи были обновлены большинством интернет-провайдеров, из-за тех, кто этого не сделал, может временно понижаться пропускная способность соединений, а вместе с ней и скорость работы в Сети. По словам Дмитрия Буркова, одного из криптографических офицеров ICANN, отобранных из мирового интернет-сообщества и исполняющих функции внешних советников и аудиторов, смена ключей KSK планируется последние четыре года. «Вряд ли мы увидим, что смена ключей пройдет без ошибок, так как определенная доля DNS-программ не способна распознать новые ключи, потому что ПО устарело. По той же причине 0,04% серверов, передающих запросы от пользователя, могут неправильно отреагировать на ключ», — считает Бурков. Он также указал, что более удобным было бы иное устройство защитной системы — с ключами, которые генерировались бы регулярно, а существующее решение было выбрано под давлением определенной части правления корпорации. «Ошибки при смене ключей отразились бы скорее не на пользователях, а на репутации ICANN», — заключил Бурков.
4.
Готовы ли российские интернет-провайдеры?
«Существуют процедуры, по которым ключевая информация по администрируемым нами доменам своевременно заменяется, — мы следуем этим процедурам, и все должно произойти незаметно для всех пользователей. Фактически речь идет лишь об установке нами обновления соответствующего программного обеспечения», — отметил исполнительный вице-президент по взаимодействию с органами исполнительной власти «ВымпелКома» Михаил Якушев (в 2014–2017 годах был вице-президентом ICANN по России, СНГ и Восточной Европе).
Готовы к смене ключей и в МТС. Вопросы о сложностях при проведении операции и после нее, по словам представителя этой компании, необходимо адресовать в ICANN. Не ожидает проблем в своей сети и представитель «Ростелекома». В пресс-службе «МегаФона» ответили, что «изменения не затронут функционирование сервисов компании». Другие крупные интернет-провайдеры либо не ответили на вопросы РБК, либо связаться с ними не удалось